Rumah Jam keamanan Drive usb jahat dapat mengambil alih pc Anda tanpa terdeteksi

Drive usb jahat dapat mengambil alih pc Anda tanpa terdeteksi

Video: Cara Memperbaiki USB yang Tidak Terdeteksi (Desember 2024)

Video: Cara Memperbaiki USB yang Tidak Terdeteksi (Desember 2024)
Anonim

Jika Anda belum mematikan autoplay USB pada PC Anda, dapat dibayangkan bahwa memasang drive USB yang terinfeksi dapat menginstal malware di sistem Anda. Para insinyur yang sentrifugal pemurni uraniumnya diledakkan oleh Stuxnet mengetahui hal itu dengan cara yang sulit. Ternyata, malware autoplay bukan satu-satunya cara perangkat USB dapat dipersenjatai. Pada konferensi Black Hat 2014, dua peneliti dari Berlinab yang berbasis di Berlin mengungkapkan teknik untuk memodifikasi chip pengontrol perangkat USB sehingga dapat "memalsukan berbagai jenis perangkat lain untuk mengendalikan komputer, mengekstrak data, atau memata-matai pengguna. " Kedengarannya agak buruk, tetapi sebenarnya itu benar-benar mengerikan.

Beralih ke Sisi Gelap

"Kami adalah laboratorium peretasan yang biasanya berfokus pada keamanan tertanam, " kata peneliti Karsten Noll, yang berbicara di ruang yang penuh sesak. "Ini adalah pertama kalinya kami melihat keamanan komputer, dengan sudut yang tertanam. Bagaimana USB dapat digunakan kembali dengan cara yang jahat?"

Peneliti Jakob Lell melompat ke demo. Dia menancapkan USB drive ke komputer Windows; itu muncul sebagai drive, seperti yang Anda harapkan. Tetapi beberapa saat kemudian, itu mendefinisikan kembali dirinya sebagai keyboard USB dan mengeluarkan perintah yang mengunduh Trojan akses jarak jauh. Tepuk tangan itu menarik!

"Kami tidak akan berbicara tentang virus di penyimpanan USB, " kata Noll. "Teknik kami bekerja dengan disk kosong. Anda bahkan dapat memformat ulang. Ini bukan kerentanan Windows yang bisa ditambal. Kami fokus pada penyebaran, bukan pada Trojan."

Mengontrol Pengendali

"USB sangat populer, " kata Noll. "Sebagian besar (jika tidak semua) perangkat USB memiliki chip pengontrol. Anda tidak pernah berinteraksi dengan chip, juga OS tidak melihatnya. Tetapi pengontrol ini adalah apa yang 'berbicara USB.'"

Chip USB mengidentifikasi jenis perangkatnya ke komputer, dan dapat mengulangi proses ini kapan saja. Noll menunjukkan bahwa ada alasan yang sah untuk satu perangkat menampilkan dirinya lebih dari satu, seperti webcam yang memiliki satu driver untuk video dan lainnya untuk mikrofon yang terpasang. Dan sungguh-sungguh mengidentifikasi drive USB itu sulit, karena nomor seri adalah opsional dan tidak memiliki format tetap.

Lell berjalan melalui langkah-langkah tepat yang diambil oleh tim untuk memprogram ulang firmware pada jenis pengontrol USB tertentu. Secara singkat, mereka harus mengintip proses pembaruan firmware, merekayasa balik firmware, dan kemudian membuat versi modifikasi dari firmware yang berisi kode berbahaya mereka. "Kami tidak merusak segalanya tentang USB, " kata Noll. "Kami merekayasa balik dua chip controller yang sangat populer. Yang pertama mungkin butuh dua bulan, yang kedua sebulan."

Replikasi diri

Untuk demo kedua, Lell memasukkan drive USB kosong baru ke PC yang terinfeksi dari demo pertama. PC yang terinfeksi memprogram ulang firmware kosong USB drive, sehingga mereplikasi dirinya sendiri. Oh sayang.

Dia kemudian menancapkan drive yang baru saja terinfeksi ke notebook Linux, di mana ia mengeluarkan perintah keyboard untuk memuat kode berbahaya. Sekali lagi, demo ini mendapat tepuk tangan meriah dari penonton.

Mencuri Kata Sandi

"Itu adalah contoh kedua di mana satu USB menggemakan tipe perangkat lain, " kata Noll, "tapi ini hanyalah puncak gunung es. Untuk demo kami berikutnya, kami memprogram ulang drive USB 3 menjadi tipe perangkat yang lebih sulit untuk dideteksi. Perhatikan baik-baik, hampir mustahil untuk melihat."

Memang, saya tidak bisa mendeteksi kedipan ikon jaringan, tetapi setelah drive USB dicolokkan, jaringan baru muncul. Noll menjelaskan bahwa drive sekarang meniru koneksi Ethernet, mengarahkan pencarian DNS komputer. Khususnya, jika pengguna mengunjungi situs web PayPal, mereka akan diarahkan ke situs pencuri kata sandi. Sayangnya, setan demo mengklaim ini; tidak berhasil.

Percayai USB

"Mari kita bahas sejenak kepercayaan yang kita tempatkan di USB, " kata Noll. "Ini populer karena mudah digunakan. Bertukar file melalui USB lebih baik daripada menggunakan email yang tidak dienkripsi atau penyimpanan cloud. USB telah menaklukkan dunia. Kami tahu cara memindai virus drive USB. Kami semakin mempercayai keyboard USB. Penelitian ini meruntuhkan kepercayaan itu."

"Bukan hanya situasi di mana seseorang memberi Anda USB, " lanjutnya. "Hanya dengan menyambungkan perangkat ke komputer Anda dapat menginfeksinya. Untuk satu demo terakhir, kami akan menggunakan penyerang USB termudah, ponsel Android."

"Mari kita lampirkan ponsel Android standar ini ke komputer, " kata Lell, "dan lihat apa yang terjadi. Oh, tiba-tiba ada perangkat jaringan tambahan. Ayo pergi ke PayPal dan masuk. Tidak ada pesan kesalahan, tidak ada. Tapi kami menangkap nama pengguna dan kata sandi! " Kali ini, tepuk tangan meriah.

"Apakah Anda akan mendeteksi bahwa ponsel Android berubah menjadi perangkat Ethernet?" tanya Noll. "Apakah perangkat Anda mengontrol atau perangkat lunak pencegahan kehilangan data mendeteksinya? Dalam pengalaman kami, sebagian besar tidak. Dan sebagian besar hanya berfokus pada penyimpanan USB, bukan pada jenis perangkat lain."

Kembalinya Infektor Sektor Boot

"BIOS melakukan jenis pencacahan USB yang berbeda dari sistem operasi, " kata Noll. "Kita bisa memanfaatkannya dengan perangkat yang mengemulasi dua drive dan keyboard. Sistem operasinya hanya akan melihat satu drive. Yang kedua hanya muncul di BIOS, yang akan boot dari sana jika dikonfigurasi untuk melakukannya. Jika tidak, kami dapat mengirim apa pun penekanan tombol, mungkin F12, untuk mengaktifkan booting dari perangkat."

Noll menunjukkan bahwa kode rootkit dimuat sebelum sistem operasi, dan dapat menginfeksi drive USB lainnya. "Ini penyebaran yang sempurna untuk virus, " katanya. "Sudah berjalan di komputer sebelum antivirus mana pun bisa memuat. Ini kembalinya virus sektor boot."

Apa yang bisa dilakukan?

Noll menunjukkan bahwa akan sangat sulit untuk menghapus virus yang berada di firmware USB. Keluarkan dari USB flash drive, itu bisa dipasangkan kembali dari keyboard USB Anda. Bahkan perangkat USB yang terpasang pada PC Anda dapat terinfeksi.

"Sayangnya, tidak ada solusi sederhana. Hampir semua ide kami untuk perlindungan akan mengganggu kegunaan USB, " kata Noll. "Bisakah Anda masuk daftar putih perangkat USB tepercaya? Ya, Anda bisa jika perangkat USB unik diidentifikasi, tetapi mereka tidak."

"Anda dapat memblokir USB sama sekali, tetapi itu memengaruhi kegunaan, " lanjutnya. "Anda dapat memblokir jenis perangkat penting, tetapi bahkan kelas yang sangat dasar dapat disalahgunakan. Hapus itu dan tidak banyak yang tersisa. Bagaimana dengan memindai malware? Sayangnya, untuk membaca firmware Anda harus mengandalkan fungsi dari firmware itu sendiri, jadi firmware jahat dapat menipu yang sah."

"Dalam situasi lain, vendor memblokir pembaruan firmware berbahaya menggunakan tanda tangan digital, " kata Noll. "Tapi kriptografi aman sulit diterapkan pada pengontrol kecil. Dalam kasus apa pun, miliaran perangkat yang ada tetap rentan."

"Satu-satunya ide yang bisa kami lakukan adalah untuk menonaktifkan pembaruan firmware di pabrik, " kata Noll. "Langkah terakhir, Anda membuatnya sehingga firmware tidak dapat diprogram ulang. Anda bahkan bisa memperbaikinya dalam perangkat lunak. Membakar satu pembaruan firmware baru yang memblokir semua pembaruan lebih lanjut. Kita bisa menaklukkan kembali sedikit lingkup perangkat USB tepercaya."

Noll membungkus dengan menunjukkan beberapa kegunaan positif untuk teknik modifikasi pengontrol yang dijelaskan di sini. "Ada kasus yang harus dibuat untuk orang-orang yang bermain-main dengan ini, " katanya, "tetapi tidak di lingkungan yang dapat dipercaya." Saya, untuk satu, tidak akan pernah melihat perangkat USB apa pun seperti dulu.

Drive usb jahat dapat mengambil alih pc Anda tanpa terdeteksi